Опенсорсный инструмент TruffleHog ищет секретные ключи в репозиториях GitHub

Независимый исследователь Дилан Айри (Dylan Ayrey) представил бесплатный инструмент TruffleHog, который был создан для разработчиков. Написанное на Python решение позволяет искать в репозиториях секретные ключи различной криптографической силы, которые могли быть случайно забыты в коде.

По словам разработчика, TruffleHog проанализирует все коммиты во всех ветках проекта, опираясь на энтропию Шеннона. Утилита внимательно проверит весь код и уделит особое внимание строкам длиннее 20 символов, содержащим как шестнадцатеричные символы, так и base64. Если TruffleHog обнаружит высокую энтропию и строку длиннее 20 символов, она отобразится на экране, так как, вероятнее всего, это случайно забытый в коде секретный ключ, к примеру, от Amazon Web Services (AWS). Для работы инструменту понадобится лишь GitPython.

Пользователи на Reddit пишут, что Amazon уже использует подобные инструменты для поиска ключей Amazon Web Services на GitHub. Дело в том, что забытые в публичных репозиториях ключи зачастую похищают злоумышленники, и потом законному владельцу аккаунта выставляют огромные счета. Так как сотрудники Amazon не хотят тратить лишнее время на разбирательства и возврат средств, компания предпочитает превентивно банить аккаунты невнимательных разработчиков.

Мария Нефёдова :Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (2)

  • Блондинка, гик, книжный червь, синефил.
    А синефил - это тот, кто много бухает???

    • Синефил - человек, который любит кино, смотрит его с удовольствием и много. При этом синефил не обязательно разбирается в драматургии, в игре актеров, в фильмографии режиссеров или отличает тонкости в жанре.
      https://thequestion.ru/questions/55207/v-chem-raznica-mezhdu-sinefilom-i-kinomanom
      А бухают синяки, бро.